0
0
Os membros do conselho e a C-suite são alvos-chave para os atores de ameaças cibernéticas, devido ao seu acesso a informações altamente sensíveis. No entanto, muitos deles estão colocando suas organizações em perigo com o uso diário de e-mail pessoal para comunicar tópicos sensíveis. Os executivos seniores não estão apenas assumindo o risco ocasional; eles estão trabalhando em um estado permanente de risco.
A realidade é que os conselhos de hoje estão intrinsecamente ligados ao gerenciamento de riscos de suas organizações – incluindo risco cibernético, risco de terceiros, risco da cadeia de suprimentos e uma infinidade de responsabilidades como ESG, conformidade e diversidade e inclusão. Isso significa que é vital que eles tenham controle total das comunicações confidenciais e possam compartilhar informações e dados com segurança para a colaboração mais eficaz – especialmente para obter uma resposta rápida e recuperação em caso de violação de segurança.
Por que o cenário de ameaças cibernéticas é diferente para organizações sem fins lucrativos e sem fins lucrativos
Organizações com e sem fins lucrativos enfrentam alguns dos mesmos desafios de segurança cibernética. O phishing continua sendo o vetor de ameaça mais comum e o risco de ser atingido por um ataque de ransomware é cada vez maior a cada ano.
Mas, ao contrário das organizações com fins lucrativos, os conselhos de organizações sem fins lucrativos não apenas lidam com informações altamente confidenciais, como informações de doadores e dados de arrecadação de fundos, mas também dependem muito da confiança e da boa vontade de seus benfeitores. Isso significa que as consequências de uma violação de dados não são apenas monetárias; há também a possibilidade de os doadores se retirarem após um incidente de segurança ou possíveis benfeitores evitarem a organização após uma violação – e as pessoas que dependem do trabalho da instituição de caridade sofrerem como resultado.
As organizações sem fins lucrativos estão se tornando cada vez mais alvo para criminosos cibernéticos. Na verdade, de acordo com a Pesquisa de Violações de Segurança Cibernética de 2022, 26% das instituições de caridade do Reino Unido estimam que foram atacadas pelo menos uma vez por semana. Mas com menos acesso a pessoal e recursos monetários em comparação com suas contrapartes com fins lucrativos, o desafio da segurança de dados e resiliência cibernética é agravado.
Considerando o aumento dos ataques a organizações sem fins lucrativos e o nível de informações confidenciais que essas organizações lidam, seria de se esperar que os membros do conselho estejam plenamente conscientes e adotassem as melhores práticas para projetos digitais e transformação e para mitigar o risco operacional. A solução é a governança moderna, que capacita as organizações com as ferramentas de que precisam para proteger os dados, agilizar a colaboração e, em última análise, impulsionar uma melhor tomada de decisões.
Quais são os principais desafios de segurança que as organizações estão enfrentando?
Independentemente da indústria ou da composição de uma organização, é amplamente conhecido que a segurança é uma das maiores ameaças enfrentadas por qualquer ambiente digital. A pandemia distanciou fisicamente dispositivos e redes e tornou mais difícil bloquear as defesas digitais do perímetro, expondo todas as empresas ao risco crescente de ataques caros de ransomware.
É imperativo se concentrar na construção de uma cultura de segurança que veja ferramentas dedicadas de segurança cibernética apoiadas pela vigilância humana e pela compreensão dos níveis de ameaça. Aqui estão alguns desafios específicos de segurança que os executivos do conselho e suas equipes estão enfrentando:
- Trabalhar em silos aumenta os riscos de segurança: é típico que as organizações tenham uma abordagem em silo para a segurança jurídica, tecnológica e de dados, o que cria lacunas. Com 100% de chance de ser alvo por meio de e-mails de phishing e o governo do Reino Unido relatando que mais de 75% das maiores instituições de caridade do Reino Unido sofreram um ataque cibernético no ano até março de 2022, ter equipes legais e tecnológicas mal alinhadas oferece proteção fraca contra atores de ameaças cada vez mais inteligentes. Essa abordagem desconectada enfraquece ainda mais a resposta a um possível ataque cibernético ou violação, já que é necessária uma colaboração robusta de equipes relevantes para afetar uma resposta rápida. No entanto, isso deve estar em vigor antes de um ataque para uma recuperação perfeita.
- O mundo virtual acelera a necessidade de colaboração segura: ferramentas de comunicação legadas, como e-mail e mensagens de texto, são práticas padrão para comunicação e colaboração organizacional sênior. No entanto, trabalhar em qualquer lugar aumentou o risco de violações iniciadas por informações privilegiadas – por meio de erro humano ou uso indevido de privilégios maliciosos.
- Erros internos continuam a representar um enorme risco: de acordo com um estudo recente da Universidade de Stanford e da Tessian, descobriu que 85% das violações de dados são causadas por erro humano. É fundamental que funcionários ou voluntários tenham treinamento regular em higiene cibernética. As informações podem ser enviadas acidentalmente para a pessoa errada ou alguém pode anexar o arquivo errado a um e-mail. Os usuários também podem enviar dados por engano para alguém que não está autorizado a tê-los. Quando funcionários ou voluntários cometem erros de computador ou não seguem protocolos, isso tira os dados do controle da organização e podem ser erros caros.
Governança de dados para um mundo digital distribuído
Para organizações sem fins lucrativos que operam em vários locais, os privilégios de acesso certos e os sistemas de dados centralizados são fundamentais para uma governança de dados eficaz. Os profissionais de segurança estão percebendo rapidamente a necessidade de agilizar e proteger as ferramentas de colaboração e comunicação.
Com os dados, sem dúvida, o ativo mais importante de uma organização, encontrar a solução tecnológica certa para protegê-la é um investimento considerado. Abaixo estão os principais recursos necessários para uma estratégia de governança de dados superior para garantir que conselhos, executivos e suas equipes possam colaborar com segurança, tomar decisões ágeis e mitigar riscos:
1. Certifique-se de que a comunicação seja criptografada
Uma plataforma de mensagens criptografada e em tempo real é a maneira mais eficaz de colaboração segura e é essencial para a comunicação individual ou em grupo. À medida que os dados confidenciais em trânsito estão mais expostos a ataques de phishing e hacks de senha, a criptografia converte esses dados de “texto simples” em uma chave criptográfica baseada em caracteres. É imperativo que seu parceiro de tecnologia seja certificado pela ISO 27001, sendo este o padrão ouro para a segurança digital. Outros recursos importantes incluem a capacidade de revogar mensagens e anexos de “somente visualização”. Dessa forma, os anexos não podem ser baixados, salvos, exportados, capturados via captura de tela, copiados ou encaminhados para outros usuários. Certifique-se sempre de que a plataforma de mensagens esteja acessível por telefone, iPad ou desktop para mensagens de texto SMS e e-mail.
2. As plataformas de verificação estão integradas
Com informações confidenciais em locais diferentes – e-mails, dispositivos e sistemas – os riscos de segurança aumentam. É melhor selecionar uma solução de comunicação que combine mensagens, bate-papo, colaboração e armazenamento de dados, tudo contido em uma única rede de plataformas conectadas. Uma solução que conecta esta plataforma de mensagens seguras a sistemas de compartilhamento de arquivos e software de gerenciamento de placas fornece um fluxo de trabalho central para os líderes da empresa. Todas as atualizações, conversas e documentos confidenciais são retirados de canais não seguros, como e-mail, para minimizar o risco.
3. Certifique-se de que a solução seja fácil de usar/adotar
A má usabilidade é uma barreira à colaboração e adoção do sistema seguro. Para garantir a adoção do conselho, estabeleça que a solução de comunicação escolhida pode emular a funcionalidade e o design de aplicativos e sistemas do dia a dia, como e-mail, e pode fornecer atualizações e notificações em tempo real. Também é importante poder apoiar a comunicação entre grupos, como individual, comitês, conselho completo ou equipe executiva. O treinamento completo sobre uso de produtos e higiene cibernética é fundamental para garantir que o uso correto seja mantido.
4. Certifique-se de que pode minimizar os elos fracos
Com os membros do conselho frequentemente perdendo ou colocando dispositivos e o risco adicional de identidade roubada, esses incidentes não devem ser negligenciados em termos de consequências irreparáveis e custos financeiros que podem causar. A solução de comunicação deve, portanto, permitir que um administrador “limque” remotamente dispositivos perdidos ou potencialmente comprometidos.
5. Certifique-se de que atende aos padrões da sua equipe de segurança
Garantir que a solução proposta atenda à rigorosa aprovação da equipe de TI adiciona uma camada extra de garantia de que a organização está adequadamente protegida. CIOs e CISOs devem perguntar sobre acesso e autorização, e controle administrativo para direitos de acesso. Eles devem descobrir o processo para que as mensagens sejam retidas e excluídas, verificar se os dados são copiados em locais remotos e geograficamente dispersos e se o provedor oferece inteligência em tempo real, 7 dias por semana, sobre o desempenho dos dados. A solução deve atender às necessidades do conselho em termos de força da senha e políticas de bloqueio.
Ferramentas de colaboração seguras que capacitam o conselho
Em meio aos riscos crescentes e aos custos crescentes de violações de segurança cibernética, os conselhos, os executivos e suas equipes devem ser capazes de colaborar com segurança, no dia a dia, para impulsionar a transformação digital sem comprometer o acesso imediato aos dados mais confidenciais.
A governança moderna pode equipar as organizações com as ferramentas dedicadas de que precisam para agilizar com segurança a colaboração, gerenciar dados de subsidiárias e entidades e fornecer insights que capacitam os líderes da empresa a tomar melhores decisões – tudo isso enquanto protegem o que é deles.
FONTE: HELPNET SECURITY